IIS安全配置Word格式.docx

1、* Remote Access Server （disable）* Remote Procedure Call （RPC） locater （disable）* Schedule （disable）* Server （disable）* Simple Services （disable）* Spooler （disable）* TCP/IP Netbios Helper （disable）* Telephone Service （disable）在必要时禁止如下服务：* SNMP service （optional）* SNMP trap （optional）* UPS （optional设置

2、如下服务为自动启动：* Eventlog （ required ）* NT LM Security Provider （required）* RPC service （required）* WWW （required）* Workstation （leave service on:will be disabled later in the document）* MSDTC （required）* Protected Storage （required）. 删除 OS/2 和 POSIX 子系统:删除如下目录的任何键：HKEY_LOCAL_MACHINESOFTWARE MicrosoftOS/

3、2 Subsystem for NT删除如下的键：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSessionManagerEnvironmentOs2LibPathHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsOptionalHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsPosixHKEY_LOCAL_MACHINESYSTEMCurrentCo

4、ntrolSetControlSession ManagerSubSystemsOs2删除如下目录：c:winntsystem32os2. 帐号和密码策略1） 保证禁止guest帐号2） 将administrator改名为比较难猜的帐号3） 密码唯一性：记录上次的 6 个密码4） 最短密码期限：25） 密码最长期限：426） 最短密码长度：87） 密码复杂化（passfilt.dll）：启用8） 用户必须登录方能更改密码：9） 帐号失败登录锁定的门限：610）锁定后重新启用的时间间隔：720分钟保护文件和目录将C:winnt, C:winntconfig, C:winntsystem32, C

5、:winntsystem等目录的访问权限做限制，限制everyone的写权限，限制users组的读写权限注册表一些条目的修改1） 去除logon对话框中的shutdown按钮将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogon中ShutdownWithoutLogon REG_SZ 值设为02） 去除logon信息的cashing功能CachedLogonsCount REG_SZ 值设为03） 隐藏上次登陆的用户名DontDisplayLastUserName REG_SZ 值设为14）限制LSA匿名访问将

6、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA中RestricAnonymous REG_DWORD 值设为15） 去除所有网络共享CurrentControlSetServicesLanManServerParameters中AutoShareServer REG_DWORD 值设为0. 启用TCP/IP过滤只允许TCP端口80和443（如果使用SSL）不允许UDP端口只允许IP Protocol 6 （TCP）. 移动部分重要文件并加访问控制：创建一个只有系统管理员能够访问的目录，将system32目录下的一些重要文件移动到此目录：x

7、copy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe,edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe,qbasic.exe,runonce.exe,syskey.exe,cacls.exe, ipconfig.exe, rcp.exe,secfixup.exe, nbtstat.exe, rdisk.exe, debug.exe, regedt32.exe, regedit.exe, netstat.e

8、xe, tracert.exe, nslookup.exe, rexec.exe, cmd.exe安装防病毒软件Norton 2000. 可以下载Hisecweb.inf安全模板来配置Http:/该模板配置基本的 Windows 2000 系统安全策略。将该模板复制到 %windir%securitytemplates 目录。打开“安全模板”工具，查看这些设置。打开“安全配置和分析”工具，然后装载该模板。右键单击“安全配置和分析”工具，然后从上下文菜单中选择“立即分析计算机”。等候操作完成。查看结果，如有必要就更新该模板。右键单击“安全配置和分析”工具，然后从上下文菜单中选择“立即配置计算机”

9、。二、IIS的安全配置 关闭并删除默认站点：默认FTP站点默认Web站点管理Web站点 建立自己的站点，与系统不在一个分区，如D:wwwroot3 建立 E:Logfiles 目录，以后建立站点时的日志文件均位于此目录，确保此目录上的访问控制权限是： Administrators（完全控制）System（完全控制） 删除IIS的部分目录：IISHelp C:winnthelpiishelpIISAdmin C:system32inetsrviisadminMSADC C:Program FilesCommon FilesSystemmsadc删除 C:inetpub. 删除不必要的IIS映射和

10、扩展：IIS 被预先配置为支持常用的文件名扩展如 .asp 和 .shtm 文件。IIS 接收到这些类型的文件请求时，该调用由 DLL 处理。如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下：打开 Internet 服务管理器：选择计算机名，点鼠标右键，选择属性：然后选择编辑然后选择主目录， 点击配置选择扩展名 .htw,.htr.idc.ida.idq和.printer，点击删除如果不使用server side include，则删除.shtm .stm 和 .shtml. 禁用父路径 :“父路径”选项允许您在对诸如 MapPath 函数调用中使用“.”。在默认情况下，该选项处于启

11、用状态，应该禁用它。禁用该选项的步骤如下：右键单击该 Web 站点的根，然后从上下文菜单中选择“属性”。单击“主目录”选项卡。单击“配置”。单击“应用程序选项”选项卡。取消选择“启用父路径”复选框。. 在虚拟目录上设置访问控制权限主页使用的文件按照文件类型应使用不同的访问控制列表：CGI （.exe, .dll, .cmd, .pl）Everyone （X）Administrators（完全控制）System（完全控制）脚本文件 （.asp）include 文件 （.inc, .shtm, .shtml）静态内容 （.txt, .gif, .jpg, .html）Everyone （R）在创建

12、Web站点时，没有必要在每个文件上设置访问控制权限，应该为每个文件类型创建一个新目录，然后在每个目录上设置访问控制权限、允许访问控制权限传给各个文件。例如，目录结构可为以下形式：wwwrootmyserverstatic （.html）wwwrootmyserverinclude （.inc）wwwrootmyserver script （.asp）wwwrootmyserver executable （.dll）wwwrootmyserverimages （.gif, .jpeg）. 启用日志记录确定服务器是否被攻击时，日志记录是极其重要的。应使用 W3C 扩展日志记录格式，步骤如下：右键单

13、击站点，然后从上下文菜单中选择“属性”。单击“Web 站点”选项卡。选中“启用日志记录”复选框。从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式”。单击“属性”。单击“扩展属性”选项卡，然后设置以下属性：* 客户 IP 地址* 用户名* 方法* URI 资源* HTTP 状态* Win32 状态* 用户代理* 服务器 IP 地址* 服务器端口IIS与SQL服务器安全加固安装和配置 Windows Server 2003。 1.将System32cmd.exe转移到其他目录或更名；2.系统帐号尽量少，更改默认帐户名（如Administrator）和描述，密码尽量复杂；3.拒绝通过网络访

14、问该计算机（匿名登录；内置管理员帐户；Support_388945a0；Guest；所有非操作系统服务帐户） 4.建议对一般用户只给予读取权限，而只给管理员和System以完全控制权限，但这样做有可能使某些正常的脚本程序不能执行，或者某些需要写的操作不能完成，这时需要对这些文件所在的文件夹权限进行更改，建议在做更改前先在测试机器上作测试，然后慎重更改。5.NTFS文件权限设定（注意文件的权限优先级别比文件夹的权限高）：文件类型 建议的 NTFS 权限 CGI 文件（.exe、.dll、.cmd、.pl） 脚本文件 （.asp） 包含文件（.inc、.shtm、.shtml） 静态内容（.txt

15、、.gif、.jpg、.htm、.html） Everyone（执行） Administrators（完全控制） System（完全控制） 6.禁止C$、D$一类的缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters AutoShareServer、REG_DWORD、0x0 7.禁止ADMIN$缺省共享 AutoShareWks、REG_DWORD、0x0 8.限制IPC$缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa rest

16、rictanonymous REG_DWORD 0x0 缺省 0x1 匿名用户无法列举本机用户列表 0x2 匿名用户无法连接本机IPC$共享 说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server 9.仅给用户真正需要的权限，权限的最小化原则是安全的重要保障 10.在本地安全策略-审核策略中打开相应的审核，推荐的审核是：账户管理 成功 失败 登录事件 成功 失败 对象访问 失败 策略更改 成功 失败 特权使用 失败 系统事件 成功 失败 目录服务访问 失败 账户登录事件 成功 失败 审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而

17、且会导致你根本没空去看，这样就失去了审核的意义。 与之相关的是：在账户策略-密码策略中设定：密码复杂性要求 启用 密码长度最小值 6位 强制密码历史 5次 最长存留期 30天 账户锁定策略中设定：账户锁定 3次错误登录 锁定时间 20分钟 复位锁定计数 20分钟 11.在Terminal Service Configration（远程服务配置）-权限-高级中配置安全审核，一般来说只要记录登录、注销事件就可以了。12.解除NetBios与TCP/IP协议的绑定 控制面版网络绑定NetBios接口禁用 2000：控制面版网络和拨号连接本地网络属性TCP/IP属性高级WINS禁用TCP/IP上的NE

18、TBIOS 13.在网络连接的协议里启用TCP/IP筛选，仅开放必要的端口（如80） 14.通过更改注册表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1来禁止139空连接 15.修改数据包的生存时间（TTL）值 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters DefaultTTL REG_DWORD 0-0xff（0-255 十进制,默认值128） 16.防止SYN洪水攻击 SynAttackProtect REG_DWOR

19、D 0x2（默认值为0x0） 17.禁止响应ICMP路由通告报文 Interfacesinterface PerformRouterDiscovery REG_DWORD 0x0（默认值为0x2） 18.防止ICMP重定向报文的攻击 EnableICMPRedirects REG_DWORD 0x0（默认值为0x1） 19.不支持IGMP协议 IGMPLevel REG_DWORD 0x0（默认值为0x2） 20.设置arp缓存老化时间设置 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters ArpCacheLif

20、e REG_DWORD 0-0xFFFFFFFF（秒数,默认值为120秒） ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF（秒数,默认值为600） 21.禁止死网关监测技术 EnableDeadGWDetect REG_DWORD 0x0（默认值为ox1） 22.不支持路由功能 IPEnableRouter REG_DWORD 0x0（默认值为0x0）增强IIS安全的简单措施Web服务在任何网络中都是最容易遭受攻击的。也许你正在使用最受欢迎的Web服务器，微软的网络信息服务器（IIS）。尽管最近释放的IIS 6.0增强了安全性，但并不是万能的。

21、你可以采取五个简单的措施使你的IIS 6.0更安全。只使能IIS与商务需求相关的组件 IIS 6.0的改变之一就是，IIS只默认使能不可或缺的静态网页服务。注意保持这种配置，只开启你真正需要的服务。严格限制分配给IUSR_systemname帐户的访问权限 运行在服务器上的许多应用程序都调用IUSR（互联网用户）帐户，代表未经许可的网络用户与系统进行交互。这实际上限制了这个帐户对服务器必需的操作的权限。使用自动升级实时更新安全修补程序 尽管新版本比先前的版本在安全方面有显著的改进，如果历史重演（微软似乎经常如此），释放的6.0版很快就会因为安全原因有一个或更多的修补程序。使能自动升级保证你尽快

22、收到修补程序。使用快速失败保护 新版本最显著的特点是你可以使能快速失败保护（Rapid-Fail Protection）功能。这会使你的服务器免受安全事故和性能的影响，通常是在很短的时间内失败太多次的进程造成的，例如故障或恶意攻击。当这种情况发生时，网络管理服务关闭应用程序池，阻止进一步的故障发生，使应用程序不可用，直到管理员处理后。对远程管理进行严格限制 在任何地方都可以管理服务器很棒，但是你要确保只有授权的用户才可如此。你应该要求所有远程管理员使用静态IP地址登录，并且登录限制在预先指定的安全的IP地址。你还应该使用强有力的认证。这不是你应该采取的措施的完整列表，这五个简单的方法可以立即改

23、善IIS服务器的安全状况。访问微软IIs安全中心，了解更多IIS安全信息。三分种保证IIS自身的安全性要构建一个安全的IIS服务器，必须从安装时就充分考虑安全问题。1. 不要将IIS安装在系统分区上。2. 修改IIS的安装默认路径。3. 打上Windows和IIS的最新补丁。IIS的 安全配置 1. 删除不必要的虚拟目录 IIS安装完成后在wwwroot下默认生成了一些目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，这些目录都没有什么实际的作用，可直接删除。2. 删除危险的IIS组件 默认安装后的有些IIS组件可能会造成安全威胁，例如 Internet服务管理器（HTML）、SMTP Service和NNTP Service、样本页面和脚本，大家可以根据自己的需要决定是否删除。3. 为IIS中的文件分类设置权限 除了在操作系统里为IIS的文件设置必要的权限外，还要在IIS管理器中为它们设置权限。一个好的设置策略是：为Web 站点上不同类型的文件都建立目录，然后给它们分配适当权限。例如：静态文件文件夹允许读、拒绝写，ASP脚本文件夹允许执行、拒绝